2018年1月我国DDoS攻击资源分析报告

-回复 -浏览
楼主 2018-07-15 06:54:13
举报 只看此人 收藏本贴 楼主

本月重点关注情况

1、本月参与攻击较多的肉鸡地址大量归属于江苏省。其中,涉及江苏省移动多个地址段的肉鸡被反复多次利用,需要重点关注,详见2.2节。

2、本月包含跨域伪造流量的DDoS攻击事件占事件总量的比例较上月有较大程度的下降。归属于浙江省和上海市的近两年持续活跃的跨域伪造流量来源路由器数量最多,详见2.4节。

3、近期持续活跃的本地伪造流量来源路由器数量占比最大的省份为江苏省、江西省、和福建省,详见2.4节。

4、通过对近两月的DDoS攻击情况进行对比,境内真实地址攻击事件量、伪造流量攻击事件量在绝大部分省份均有不同程度的减少,治理效果较明显。特别地,北京市、山西省上月的威胁治理工作效果显著,攻击资源和事件数量均有较大程度的下降。



攻击资源定义


本报告为2018年1月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的受控主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

4、反射攻击流量来源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP地址,因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊,本报告将反射攻击流量来源路由器单独统计。

5、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

6、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

为保护网络资源信息不被恶意利用,报告中提及的具体IP地址都进行了脱敏处理。


DDos攻击资源分析


1 控制端资源分析


根据CNCERT抽样监测数据,2018年1月,利用肉鸡发起DDoS攻击的控制端总量为1,617个,其中,1,010个控制端位于境内,607个控制端位于境外。

位于境外的控制端按国家或地区分布,美国占的比例最大,占44.0%,其次是加拿大和中国香港,如图1所示。

图1 本月发起DDoS攻击的境外控制端数量按国家或地区TOP30

位于境内的控制端按省份统计,广东省占的比例最大,占15.9%,其次是北京市、上海市和浙江省;按运营商统计,电信占的比例最大,占46.8%,联通占29.3%,移动占15.6%,如图2所示。

图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

发起攻击最多的境内控制端前二十名及归属如表1所示,主要位于广东省、江苏省、浙江省和北京市。

表1 本月发起攻击最多的境内控制端TOP20

控制端地址归属省份归属运营商
119.X.X.94广东省电信
123.X.X.230广东省电信
61.X.X.52江苏省电信
222.X.X.120江苏省电信
14.X.X.42广东省电信
119.X.X.195广东省电信
47.X.X.74广东省待确认
183.X.X.78浙江省电信
58.X.X.97江苏省电信
223.X.X.9辽宁省移动
183.X.X.19浙江省电信
52.X.X.23北京市待确认
52.X.X.87北京市待确认
52.X.X.180北京市待确认
180.X.X.82江苏省电信
54.X.X.116北京市电信
104.X.X.93上海市待确认
183.X.X.227浙江省电信
103.X.X.175广东省待确认
183.X.X.43浙江省电信

本月平均每个控制端在3.69天尝试发起了DDoS攻击,攻击天次最多的控制端地址位于美国(155.X.X.207),在28天范围内发起了攻击,超过总监测天数的十分之九。

2017年度攻击月次超过6月次的21个控制端中,有两个控制端在本月仍活跃,分别是归属浙江省的电信地址(121.X.X.62)及归属上海市的电信地址(180.X.X.134)。此外,2017年度发起DDoS攻击次数在TOP100的控制端中,仅发现位于美国的两个IP地址(23.X.X.170、23.X.X.131)在本月仍活跃外,其它控制端均未监测到其进一步发起DDoS攻击事件。

2017年12月监测到的控制端中,41.1%的控制端在本月仍处于活跃状态,共计627个,其中位于我国境内的控制端数量为557个,位于境外的控制端数量为70个。近两月持续活跃的境内控制端按省份统计,广东省占的比例最大,为13.1%,其次是北京市、浙江省和上海市;按运营商统计,电信占的比例最大,为42.2%,联通占30.2%,移动占18.5%,如图3所示。

图3 近两月活跃的发起DDoS攻击的境内控制端数量按省份和运营商分布


2 肉鸡资源分析


根据CNCERT抽样监测数据,2018年1月,利用真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)的DDoS攻击事件占事件总量的70.3%。其中,共有104,597个肉鸡地址参与攻击,涉及38,482个IP地址C段。

这些肉鸡资源按省份统计,江苏省占的比例最大,为28.8%,其次是重庆市、湖北省和福建省;按运营商统计,电信占的比例最大,为46.3%,移动占41.8%,联通占9.5%,如图4所示。

图4 本月肉鸡地址数量按省份和运营商分布

本月参与攻击最多的肉鸡地址前二十名及归属如表2所示,位于江苏省的地址最多。其中,涉及江苏省移动多个地址段的肉鸡被反复多次利用,需要重点关注。

表2本月参与攻击最多的肉鸡地址TOP20

肉鸡地址归属省份归属运营商
112.X.X.229江苏省移动
112.X.X.230江苏省移动
112.X.X.31江苏省移动
112.X.X.49江苏省移动
112.X.X.48江苏省移动
112.X.X.33江苏省移动
112.X.X.32江苏省移动
112.X.X.154安徽省移动
112.X.X.180安徽省移动
120.X.X.150安徽省移动
183.X.X.87江苏省移动
223.X.X.175江苏省移动
223.X.X.40江苏省移动
223.X.X.103江苏省移动
223.X.X.121江苏省移动
223.X.X.178江苏省移动
223.X.X.49江苏省移动
223.X.X.35江苏省移动
223.X.X.251江苏省移动
223.X.X.142新疆维吾尔自治区移动

肉鸡资源在本月被利用参与发起DDoS攻击的平均天次达1.98次。其中参与攻击天次最多的肉鸡地址为归属于江苏省移动(112.X.X.16、112.X.X.210、112.X.X.10)的地址,分别参与了18天次的攻击,接近监测天数的五分之三。

2017年度攻击月次超过6月次的肉鸡中(共计2094个),监测发现有380个在本月仍活跃,存活率为18.1%。这些活跃肉鸡地址按省份统计,辽宁省的数量最多,为68个,其次是江苏省、河南省和上海市;按运营商统计,电信占的比例最大,占43.3%,联通占39.3%,移动占13.2%,如图5所示。

图5 2017年度攻击月次超过6月次且本月仍活跃的肉鸡数量按省份和运营商分布

此外,2017年度被利用发起DDoS攻击次数TOP100的肉鸡中,监测发现有29个在本月仍活跃,存活率为29%。持续活跃的29个肉鸡地址如表3所示,其中归属于河南省联通的地址数量最多。

表3 2017年度攻击次数TOP100且在本月持续活跃的肉鸡地址

肉鸡地址归属省份归属运营商
58.X.X.211贵州省联通
58.X.X.211安徽省联通
60.X.X.95安徽省电信
61.X.X.230上海市电信
103.X.X.2浙江省待确认
111.X.X.35黑龙江省移动
115.X.X.60浙江省电信
115.X.X.85浙江省电信
116.X.X.84河南省联通
116.X.X.128河南省联通
122.X.X.166浙江省电信
124.X.X.212安徽省电信
180.X.X.74上海市电信
202.X.X.133浙江省电信
202.X.X.138新疆维吾尔自治区电信
202.X.X.14河南省联通
202.X.X.15河南省联通
202.X.X.13河南省联通
202.X.X.20河南省联通
202.X.X.21河南省联通
202.X.X.18河南省联通
202.X.X.19河南省联通
202.X.X.16河南省联通
202.X.X.17河南省联通
218.X.X.232上海市电信
218.X.X.238云南省电信
218.X.X.127上海市电信
218.X.X.254新疆维吾尔自治区电信
222.X.X.133新疆维吾尔自治区电信
58.X.X.211贵州省联通
58.X.X.211安徽省联通
60.X.X.95安徽省电信
61.X.X.230上海市电信
103.X.X.2浙江省待确认
111.X.X.35黑龙江省移动
115.X.X.60浙江省电信
115.X.X.85浙江省电信
116.X.X.84河南省联通
116.X.X.128河南省联通
122.X.X.166浙江省电信
124.X.X.212安徽省电信
180.X.X.74上海市电信
202.X.X.133浙江省电信
202.X.X.138新疆维吾尔自治区电信
202.X.X.14河南省联通
202.X.X.15河南省联通
202.X.X.13河南省联通
202.X.X.20河南省联通
202.X.X.21河南省联通
202.X.X.18河南省联通
202.X.X.19河南省联通
202.X.X.16河南省联通
202.X.X.17河南省联通

2017年12月监测到的肉鸡资源中,5.9%的肉鸡在本月仍处于活跃状态,共计8161个。近两月持续活跃的肉鸡资源按省份统计,江苏省占的比例最大,占31.4%,其次是福建省、重庆市和内蒙古自治区;按运营商统计,移动占的比例最大,占53.0%,电信占40.0%,联通占6.2%,如图6所示。

图6 近两月持续活跃的肉鸡数量按省份和运营商分布

3 反射攻击资源分析



反射服务器资源

根据CNCERT抽样监测数据,2018年1月,利用反射服务器发起的反射攻击的DDoS攻击事件占事件总量的21.7%,共涉及33,731台反射服务器。

反射攻击所利用的服务端口根据反射服务器数量统计、以及按发起反射攻击事件数量统计,被利用最多的均为1900端口。如图7所示。

图7 本月反射攻击利用端口根据服务器数量及事件数量统计

根据反射服务器数量按省份统计,河北省占的比例最大,占19.1%,其次是福建省、内蒙古自治区和江苏省;按运营商统计,联通占的比例最大,占49.6%,电信占比41.5%,移动占比8.4%,如图8所示。

图8 本月反射服务器数量按省份和运营商分布

参与攻击最多的反射服务器前二十名及归属如表4所示,位于重庆市移动的地址最多。

表4本月参与攻击最多的反射服务器TOP20

反射服务器地址归属省份归属运营商
111.X.X.30青海省移动
111.X.X.38青海省移动
111.X.X.30青海省移动
111.X.X.89内蒙古自治区移动
111.X.X.252内蒙古自治区移动
120.X.X.23内蒙古自治区移动
183.X.X.167重庆市移动
183.X.X.36重庆市移动
183.X.X.197重庆市移动
183.X.X.133重庆市移动
183.X.X.200重庆市移动
183.X.X.118重庆市移动
183.X.X.221重庆市移动
183.X.X.217重庆市移动
218.X.X.201重庆市移动
218.X.X.244重庆市移动
218.X.X.168贵州省移动
218.X.X.183贵州省移动
221.X.X.59西藏自治区联通
221.X.X.21西藏自治区联通

反射服务器在本月被利用参与发起DDoS攻击的平均天次为1.23次。其中参与攻击最多的反射服务器地址为归属于重庆市移动的地址(183.X.X.36),共参与了15天攻击,约占监测天数的二分之一。

2017年度被利用发起攻击超过6月次的反射服务器中(共计1151个),监测发现有481个在本月仍活跃,存活率为41.8%。这些持续被利用的反射服务器按省份统计,贵州省的数量最多,为84个,其次是湖北省、辽宁省和新疆维吾尔自治区;按运营商统计,电信占的比例最大,占42.8%,移动占30.5%,联通占26.3%,如图9所示。

图9 2017年被利用发起攻击超过6月次且本月仍活跃的反射服务器数量按省份运营商分布

此外,2017年度被利用发起DDoS攻击次数TOP100的反射服务器中,监测发现有48个在本月仍活跃,存活率为48%。其中,位于新疆维吾尔自治区和辽宁省的地址数量最多。

表5 2017年度被利用发起攻击次数TOP100且在本月持续活跃的反射服务器地址

反射服务器地址归属省份归属运营商
43.X.X.110北京市联通
59.X.X.139辽宁省电信
59.X.X.164辽宁省电信
59.X.X.101辽宁省电信
59.X.X.39辽宁省电信
59.X.X.58辽宁省电信
59.X.X.242辽宁省电信
59.X.X.62辽宁省电信
59.X.X.74辽宁省电信
59.X.X.142辽宁省电信
59.X.X.22辽宁省电信
60.X.X.83新疆维吾尔自治区联通
60.X.X.251新疆维吾尔自治区联通
111.X.X.87安徽省移动
112.X.X.42黑龙江省电信
117.X.X.196新疆维吾尔自治区移动
117.X.X.182新疆维吾尔自治区移动
117.X.X.154新疆维吾尔自治区移动
117.X.X.177新疆维吾尔自治区移动
117.X.X.184新疆维吾尔自治区移动
117.X.X.125新疆维吾尔自治区移动
117.X.X.234新疆维吾尔自治区移动
117.X.X.98新疆维吾尔自治区移动
117.X.X.249新疆维吾尔自治区移动
117.X.X.6广东省移动
120.X.X.232新疆维吾尔自治区移动
120.X.X.150新疆维吾尔自治区移动
123.X.X.118黑龙江省电信
124.X.X.22北京市联通
124.X.X.90北京市联通
124.X.X.248新疆维吾尔自治区联通
124.X.X.218北京市鹏博士
125.X.X.194吉林省联通
175.X.X.2吉林省联通
180.X.X.16北京市电信
183.X.X.36重庆市移动
183.X.X.36重庆市移动
183.X.X.42重庆市移动
218.X.X.166新疆维吾尔自治区电信
218.X.X.221重庆市移动
218.X.X.136北京市移动
218.X.X.203重庆市移动
219.X.X.34北京市电信
220.X.X.70新疆维吾尔自治区电信
221.X.X.37河南省移动(铁通)
222.X.X.146黑龙江省电信
222.X.X.90黑龙江省电信
222.X.X.134黑龙江省电信

2017年12月监测到的反射服务器资源中,7.0%的反射服务器在本月仍处于活跃状态,共计2231个。这些近两月持续活跃的反射服务器资源按省份统计,福建省占的比例最大,为15.7%,其次是江苏省、贵州省和四川省;按运营商统计,电信占的比例最大,为53.4%,联通占29.7%,移动占16.0%,如图10所示。

图10 近两月持续活跃的反射服务器数量按省份和运营商分布

反射攻击流量来源路由器

2018年1月,境内反射攻击流量主要来源于193个路由器,根据参与攻击事件的数量统计,归属于天津市电信的路由器(221.X.X.2)涉及的攻击事件最多,其次是归属于天津市电信(221.X.X.1)、浙江省联通(221.X.X.23、221.X.X.22)的路由器,如表5所示。在表中用黄色标注的6个反射攻击流量来源路由器,为2017年被利用发起DDoS攻击次数的排名位列TOP25,且监测发现在本月仍排在前列的路由器地址。

表6本月发起反射放大攻击事件的流量来源路由器按事件TOP25

反射攻击流量来源路由器所属省份所属运营商
221.X.X.2天津电信
221.X.X.1天津电信
221.X.X.23浙江联通
221.X.X.22浙江联通
221.X.X.12海南联通
112.X.X.39上海联通
61.X.X.8浙江电信
61.X.X.4浙江电信
58.X.X.201安徽联通
219.X.X.70北京电信
58.X.X.201安徽联通
218.X.X.254陕西电信
58.X.X.201安徽联通
218.X.X.251陕西电信
58.X.X.201安徽联通
221.X.X.224辽宁联通
221.X.X.247辽宁联通
202.X.X.17上海电信
221.X.X.253广东联通
202.X.X.21上海电信
61.X.X.14北京联通
61.X.X.12北京联通
61.X.X.40北京联通
58.X.X.202安徽联通
202.X.X.23上海电信

根据发起反射攻击事件的来源路由器数量按省份统计,北京市占的比例最大,占10.2%,其次是浙江省、广东省和安徽省;按发起反射攻击事件的来源运营商统计,联通占的比例最大,占51.2%,电信占比48.8%,如图11所示。

图11 本月反射攻击流量来源路由器数量按省份和运营商分布

4 发起伪造流量的路由器分析



跨域伪造流量来源路由器

根据CNCERT抽样监测数据,2018年1月,包含跨域伪造流量的DDoS攻击事件占事件总量的11.8%,较上月的比例(53.4%)有较大程度的下降。通过跨域伪造流量发起攻击的流量来源于52个路由器。根据参与攻击事件的数量统计,归属于吉林省联通的路由器(125.X.X.57、218.X.X.9)参与的攻击事件数量最多,其次是归属于辽宁省移动(211.X.X.44、211.X.X.45)的路由器,如表6所示。在表中用黄色标注的5个跨域攻击流量来源路由器,为2017年被利用发起DDoS攻击次数的排名位列TOP25,且监测发现在本月仍排在前列的路由器地址。

表7本月参与攻击最多的跨域伪造流量来源路由器TOP25

跨域伪造流量来源路由器归属省份归属运营商
125.X.X.57吉林联通
218.X.X.9吉林联通
211.X.X.44辽宁移动
211.X.X.45辽宁移动
218.X.X.204福建移动
202.X.X.1河北联通
125.X.X.202吉林联通
221.X.X.9河南移动
221.X.X.10河南移动
218.X.X.205福建移动
218.X.X.218福建移动
211.X.X.205上海移动
218.X.X.219福建移动
221.X.X.2河南移动
58.X.X.253贵州联通
120.X.X.1山东移动
211.X.X.203上海移动
202.X.X.224河北联通
61.X.X.25浙江电信
221.X.X.2天津电信
58.X.X.254贵州联通
211.X.X.3浙江移动
211.X.X.9浙江移动
120.X.X.2山东移动
211.X.X.8浙江移动

跨域伪造流量涉及路由器按省份分布统计,浙江省占的比例最大,占13.5%,其次是吉林省和上海市;按路由器所属运营商统计,移动占的比例最大,占53.8%,联通占比25.0%,电信占比21.2%,如图12所示。

图12 跨域伪造流量来源路由器数量按省份和运营商分布

本月转发跨域伪造攻击流量的路由器中,平均每个路由器在1.9天被发现发起跨域伪造地址流量攻击,归属于于吉林省联通的路由器(218.X.X.9、125.X.X.57)参与攻击天次最多,分别在6天范围内被发现发起跨域攻击流量,约占监测总天数的五分之一。

2017年度被利用转发跨域伪造攻击流量的路由器超过6月次的跨域伪造流量来源路由器中(共计66个),监测发现有22个在本月仍活跃,存活率为33.3%。这些活跃的转发跨域伪造攻击流量的路由器按省份统计,归属浙江省和上海市的路由器数量最多,如表9所示。

表9 2017年长期被利用转发跨域伪造攻击流量且本月仍活跃路由器地址

跨域伪造流量来源路由器归属省份归属运营商
61.X.X.25浙江省电信
111.X.X.1北京市移动
112.X.X.38上海市联通
118.X.X.1江西省联通
125.X.X.202吉林省联通
125.X.X.57吉林省联通
202.X.X.21上海市电信
202.X.X.23上海市电信
211.X.X.203上海市移动
211.X.X.205上海市移动
211.X.X.8浙江省移动
211.X.X.9浙江省移动
211.X.X.2浙江省移动
211.X.X.3浙江省移动
218.X.X.9吉林省联通
218.X.X.254山东省联通
220.X.X.127浙江省电信
220.X.X.126浙江省电信
221.X.X.238广东省移动(铁通)
221.X.X.237广东省移动(铁通)
221.X.X.2天津市电信
221.X.X.1天津市电信

此外,2017年度被利用转发DDoS攻击事件次数TOP100的跨域伪造流量来源路由器中,监测发现有24个在本月仍活跃,存活率为24%。按省份统计,浙江省和上海市路由器数量最多,如表10所示。

表10 2017年被利用转发跨域伪造流量攻击次数TOP100且本月仍活跃路由器地址

跨域伪造流量来源路由器归属省份归属运营商
61.X.X.25浙江省电信
112.X.X.38上海市联通
118.X.X.1江西省联通
125.X.X.202吉林省联通
125.X.X.57吉林省联通
202.X.X.21上海市电信
202.X.X.23上海市电信
202.X.X.243新疆维吾尔自治区电信
202.X.X.224河北省联通
202.X.X.223河北省联通
211.X.X.203上海市移动
211.X.X.205上海市移动
211.X.X.8浙江省移动
211.X.X.9浙江省移动
211.X.X.2浙江省移动
211.X.X.3浙江省移动
218.X.X.9吉林省联通
218.X.X.254山东省联通
220.X.X.127浙江省电信
220.X.X.126浙江省电信
221.X.X.238广东省移动(铁通)
221.X.X.237广东省移动(铁通)
221.X.X.2天津市电信
221.X.X.1天津市电信

2017年12月监测到的跨域攻击流量来源路由器资源中,36.6%的路由器在本月仍处于活跃状态,共计37个。近两月持续活跃的跨域攻击流量来源路由器资源按省份统计,浙江省和上海市的路由器数量最多,如表11所示。

表11 近两月持续活跃的跨域攻击流量来源路由器

跨域伪造流量来源路由器归属省份归属运营商
58.X.X.253贵州省联通
58.X.X.254贵州省联通
61.X.X.25浙江省电信
112.X.X.38上海市联通
118.X.X.1江西省联通
125.X.X.202吉林省联通
125.X.X.57吉林省联通
202.X.X.21上海市电信
202.X.X.23上海市电信
202.X.X.224河北省联通
202.X.X.223河北省联通
211.X.X.203上海市移动
211.X.X.205上海市移动
211.X.X.45辽宁省移动
211.X.X.44辽宁省移动
211.X.X.8浙江省移动
211.X.X.9浙江省移动
211.X.X.2浙江省移动
211.X.X.3浙江省移动
218.X.X.9吉林省联通
218.X.X.254山东省联通
218.X.X.204福建省移动
218.X.X.205福建省移动
218.X.X.219福建省移动
218.X.X.218福建省移动
220.X.X.127浙江省电信
220.X.X.126浙江省电信
221.X.X.13山东省联通
221.X.X.1河南省移动(铁通)
221.X.X.2河南省移动(铁通)
221.X.X.9河南省移动(铁通)
221.X.X.10河南省移动(铁通)
221.X.X.238广东省移动(铁通)
221.X.X.237广东省移动(铁通)
221.X.X.2天津市电信
221.X.X.1天津市电信


本地伪造流量来源路由器

根据CNCERT抽样监测数据,2018年1月,包含本地伪造流量的DDoS攻击事件占事件总量的18.5%,通过本地伪造流量发起攻击的流量来源于562个路由器。根据参与攻击事件的数量统计,11个归属于江苏省移动的路由器(221.X.X.4、221.X.X.3、221.X.X.1、221.X.X.2、202.X.X.241、221.X.X.160、221.X.X.159、221.X.X.5、221.X.X.6、221.X.X.8、221.X.X.9)参与的攻击事件数量最多,其次是归属于浙江省电信的路由器(61.X.X.4),如表12所示。在表中用黄色标注的8个本地攻击流量来源路由器,为2017年被利用发起DDoS攻击次数的排名位列TOP25,且监测发现在本月仍排在前列的路由器地址。

表12 本月参与攻击最多的本地伪造流量来源路由器TOP25

本地伪造流量来源路由器归属省份归属运营商
221.X.X.4江苏移动
221.X.X.3江苏移动
221.X.X.1江苏移动
221.X.X.2江苏移动
202.X.X.241江苏电信
221.X.X.160江苏移动
221.X.X.159江苏移动
221.X.X.5江苏移动
221.X.X.6江苏移动
221.X.X.8江苏移动
221.X.X.9江苏移动
61.X.X.4浙江电信
221.X.X.21江苏移动
61.X.X.1四川电信
202.X.X.155福建电信
221.X.X.10江苏移动
221.X.X.17江苏移动
61.X.X.2四川电信
218.X.X.129四川电信
202.X.X.154福建电信
221.X.X.22江苏移动
218.X.X.130四川电信
61.X.X.71江苏电信
221.X.X.7江苏移动
61.X.X.8浙江电信

本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占26.3%,其次是福建省、江西省、及贵州省;按路由器所属运营商统计,电信占的比例最大,占52.2%,移动占比35.5%,联通占比12.4%,如图13所示。

图13 本地伪造流量来源路由器数量按省份和运营商分布

本月转发本地伪造攻击流量的路由器中,平均每个路由器在2.49天被发现发起跨域伪造地址流量攻击,最多的归属于江苏省移动的路由器(221.X.X.3、221.X.X.3)均在9天范围内被发现发起跨域攻击流量,约占监测总天数的三分之一。

2017年度被利用转发本地伪造攻击流量的路由器超过6月次的本地伪造流量来源路由器中(共计169个),监测发现有69个在1月份仍活跃,存活率为40.8%。这些活跃的转发本地伪造攻击流量的路由器按省份统计,浙江省和江西省数量最多,其次是江苏省、上海市、和福建省;按运营商统计,电信占的比例最大,占79.4%,联通占11.8%,移动占8.8%,如图14所示。

图14 2017年活跃超6月次且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

此外,2017年被利用转发本地伪造流量DDoS攻击事件次数TOP100的路由器中,监测发现有50个在本月仍活跃,存活率为50%。按省份统计,福建省、江西省和江苏省的数量最多;按运营商统计,电信占的比例最大,占89.8%,如图15所示。

图15 2017年被利用TOP100且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

2017年12月监测到的本地攻击流量来源路由器资源中,40.2%的路由器在本月仍处于活跃状态,共计80个。近两月持续活跃的本地攻击流量来源路由器资源按省份统计,江苏省占的比例最大,占32.9%;按运营商统计,电信和联通占的比例最大,占40.5%,如图16所示。

图16 近两月活跃的本地伪造流量来源路由器数量按省份和运营商分布

本月攻击资源治理效果分析



1 攻击资源维度



控制端资源

根据CNCERT抽样监测数据,与2017年12月相比,本月利用肉鸡发起DDoS攻击的控制端总量较之增加93个,其中境内控制端数量比12月减少246个,境外控制端数量比12月增加339个。其中境内控制端中,浙江省减少数量最多,达44个,其次是河南省、陕西省和北京市;而宁夏回族自治区相比于上月境内控制端数量提高最多,达13个,如图17所示。

图17 近两月各省份控制端数量变化情况

肉鸡资源

根据CNCERT抽样监测数据,本月利用肉鸡资源发起DDoS攻击的境内肉鸡数量按省份统计,江苏省最多,占28.8%,其次是重庆市、湖北省和福建省。相较于2017年12月的肉鸡资源数量,北京市本月减少的肉鸡数量最多,达15,930个,其次是湖北省、浙江省和四川省,山西省本月未监测发现被利用发起攻击的肉鸡地址;而江苏省相比于12月肉鸡IP数增加最多,达7,757个,如图18所示。

图18 近两月各省份肉鸡数量变化情况

反射服务器资源

根据CNCERT抽样监测数据,本月利用境内反射服务器发起反射攻击的服务器数量按省份统计,河北省最多,占19.1%,其次是福建省、内蒙古自治区和江苏省。相较于2017年12月份利用反射服务器发起反射攻击的服务器数量,山东省减少的数量最多,达2,832个,其次是北京市和浙江省;而河北省相比于12月反射服务器数量增加最多,达2,131个,如图19所示。

图19 近两月各省份反射服务器数量变化情况

反射来源服务器资源

根据CNCERT抽样监测数据,境内转发反射攻击流量主要来源于42个运营商路由器,根据涉及的路由器数量按照省份统计,归属于北京市的路由器最多,其次是安徽省、浙江省以及上海市。相较于2017年12月份,北京市本月减少的反射攻击流量来源路由器数量最多,达8个,其次是江苏省、广东省和江西省,如图20所示,图中未出现的省份表示两月均未发现来源于该省的转发反射攻击流量的路由器。

图20 近两月各省份反射攻击来源路由器数量变化情况

跨域伪造流量来源路由器资源

根据CNCERT抽样监测数据,本月转发跨域伪造流量的运营商路由器按省份统计,浙江省所占比例最大,为13.0%,其次是吉林省和上海市。相较于2017年12月的跨域伪造流量来源服务器资源,北京市本月份减少的路由器数量最多,达17个,其次是广东省、山东省和云南省;而内蒙古自治区、河北省、新疆、江西省和吉林省的路由器数量有所增加,如图21所示,其中未出现的省份表示两月均未发现来源于该省的转发跨域伪造攻击流量的路由器。

图21 近两月各省份跨域伪造流量来源路由器数量变化情况

本地伪造流量来源路由器资源

根据CNCERT抽样监测数据,本月转发本地伪造流量的运营商路由器按省份统计,江苏省所占比例最大,为26.3%,其次是福建省、江西省和浙江省。相较于2017年12月份的本地伪造流量来源服务器资源,北京市和广东省本月减少的路由器数量最多,达14个。而四川省的路由器数量增加最多,达4个,如图22所示。

图22 近两月各省份本地伪造流量来源路由器数量变化情况

2 攻击事件维度



真实地址攻击事件

根据CNCERT抽样监测数据,本月利用真实地址发起DDoS攻击的事件按省份统计,江苏省事件数量最多,其次是重庆市、湖北省和浙江省。对比2017年12月各省份的此类攻击事件,北京市本月的事件数减少的最多,其次是广东省、浙江省和湖北省,如图23所示。

图23 近两月各省份真实地址攻击事件数量变化情况

反射攻击事件

根据CNCERT抽样监测数据,本月利用反射服务器发起的DDoS反射攻击事件按省份统计,浙江省的事件数量最多,其次是天津市、重庆市和河北省。对比2017年12月各省份利用反射服务器发起的攻击事件,北京市本月减少的事件数量最多,其次是山西省、陕西省和江苏省。大部分省份的反射攻击事件数量均有所增加,最多的是重庆市、四川省、河北省,如图24所示。

图24 近两月各省份反射攻击事件数量对比

跨域伪造流量攻击

根据CNCERT抽样监测数据,本月包含跨域伪造流量的DDoS攻击事件按省份统计,吉林省的事件数量最多,其次是黑龙江省、辽宁省和河北省。对比2017年12月各省份跨域伪造流量攻击事件,北京市本月事件数量减少的最多,其次是贵州省、广东省和浙江省,如图28所示。从图中可以看出本月治理效果较为明显,大部分省份发出的跨域伪造流量事件数量均有较大程度的减少,如图25所示。

图25 近两月各省份跨域伪造流量攻击事件数量变化情况

本地伪造流量攻击

根据CNCERT抽样监测数据,本月包含本地伪造流量的DDoS攻击事件按省份统计,江苏省事件数量最多,其次是浙江省、上海市和福建省。对比2017年12月各省份本地伪造流量攻击事件,浙江省本月事件数量减少的最多,其次是四川省、湖北省和江苏省,如图26所示。从图中可以看出本月治理效果较为明显,除上海市外,其它省份发出的本地伪造流量事件数量均有不同程度的减少。

图26 近两月各省份本地伪造流量攻击事件数量比较情况



长按识别二维码预览原文报告


我要推荐
转发到